本文首发于烂泥行天下

最近一个月没有写过文章,主要是刚刚换的新工作。新公司服务器OS使用的是ubuntu server版,和以前熟悉的centos还是有很多不同的。

刚好这几天有时间,也是工作需要,学习了下有关ssh密钥的知识。

在平时的工作中,我们登陆服务器,一般是使用ssh密码的方式。其实还有一种方式,那就是通过ssh密钥登陆服务器。

这两种方法都是ssh的安全验证方式,,根据验证方式的不同我们把其分为:基于密码的安全验证和基于密钥的安全验证。

注意:在一些文章中提到的ssh证书,其实就是ssh密钥。

一、ssh两种安全验证介绍

通过以上介绍,我们知道了ssh有两种安全验证方式,下面我们一一介绍其工作原理。

1.1 基于密码的安全验证

这种方式,只需要知道远程服务器的帐号和密码,就可以登录到远程服务器。所有传输的数据都会被加密,但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是说这种方式的连接有可能会受到“中间人”这种方式的***。

1.2 基于密钥的安全验证

这种方式,需要依靠密钥,也就是说你必须为自己创建一对密钥对(公钥和私钥),并且把该公钥放到需要访问的服务器上。

注意:不能在需要访问的服务器上创建密钥,否则无法通过该密钥连接该服务器,但是通过该密钥连接其他服务器是正常的。

如果你要连接到ssh服务器,ssh客户端会向ssh服务器发出请求,请求用你的密钥进行安全验证。ssh服务器在收到该请求之后,会先在ssh服务器上,检查你登陆的用户的主目录下寻找对应的公钥,然后把它和你发送过来的公钥进行比较。如果两个公钥一致,ssh服务器就用公钥加密“质询”(challenge)并把它发送给ssh客户端。ssh客户端在收到“质询”之后就可以用你的私钥解密该“质询”,再把它发送给ssh服务器。

这种安全验证方式,你必须知道自己密钥的加密口令。当然,自己的密钥也可以不加密,而且这种不加密密钥的方式,在平时工作中使用的也比较多。

通过以上对比,我们可以很容易看出。与基于密码的安全验证相比,基于密钥的安全验证是不需要在网络上传输密码。除此之外,我们还可以看出,“中间人”这种***方式也是不可能的(因为他没有你的私钥)。

二、测试ssh无密码登陆

在第一章中我们介绍了,ssh的两种安全验证方式。要达到ssh无密码登陆服务器,我们就要使用ssh密钥验证这种方式。

PS:本次试验OS为Ubuntu 14.04.02 64bit,如下:

uname –a

cat /etc/issue

烂泥:学习ssh之ssh无密码登陆_第1张图片

2.1创建ssh密钥

通过第一章我们知道了,要使用ssh密钥验证。我们必须要创建一个ssh密钥对。

ssh密钥的创建,我们可以有两种方式。第一就是在linux OS上通过ssh-kengen这个命令来创建,第二就是在windows下通过ssh客户端工具来创建。

下面我们对其创建密钥的方法一一进行介绍,如下。

2.1.1 通过ssh-kengen命令创建密钥

使用ssh-kengen命令创建ssh密钥很简单,直接使用该命令创建即可。如下:

ssh-keygen

烂泥:学习ssh之ssh无密码登陆_第2张图片

通过上图,我们可以很明显的看出刚刚新创建的密钥存放在/home/ilanni/.ssh目录下,而且私钥文件是id_rsa,公钥文件是id_rsa.pub

除此之外,我们还需要注意ssh-kengen命令中:

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

这两行是表示设置私钥的加密密码,我们在此是没有设置私钥的加密密码。

现在我们来查看密钥的文件属性,如下:

ll .ssh/

烂泥:学习ssh之ssh无密码登陆_第3张图片

通过上图,我们可以很明显的看出:

.ssh目录的用户权限是700,私钥id_rsa的权限是600,公钥id_rsa.pub的权限是644。

注意:有关私钥id_rsa和公钥id_rsa.pub文件权限非常重要,如果权限没有设置对的话,在使用ssh密钥登陆时,系统还是会提示需要输入密码。

ssh-keygen默认使用的密钥加密类型是rsa,这个我们可以通过查看公钥文件id_rsa.pub得知。如下:

cat .ssh/id_rsa.pub

烂泥:学习ssh之ssh无密码登陆_第4张图片

如果要使用其他类型的加密方式,我们可以通过ssh-keygen的-t参数来指定使用的加密类型。如下:

ssh-keygen -t dsa

烂泥:学习ssh之ssh无密码登陆_第5张图片

cat .ssh/id_dsa.pub

烂泥:学习ssh之ssh无密码登陆_第6张图片

有关ssh-kengen命令的详细使用方法,我们可以通过查看ssh-kengen的帮助命令获得。如下:

ssh-keygen --help

烂泥:学习ssh之ssh无密码登陆_第7张图片

注意:该密钥是在192.168.1.8机器上生成的,如下:

hostname

ifconfig

烂泥:学习ssh之ssh无密码登陆_第8张图片

2.1.2 通过xshell创建密钥

windows下ssh客户端的连接工具比较多,但是我使用最多的还是xshell这个工具。

下面我们就通过xshell工具,来创建ssh的密钥。

打开xshell,点击“工具”--“新建用户密钥生成向导”,如下:

烂泥:学习ssh之ssh无密码登陆_第9张图片

下面这个界面,我们可以选择密钥的类型和密钥的长度,如下:

烂泥:学习ssh之ssh无密码登陆_第10张图片

生成密钥对,如下:

烂泥:学习ssh之ssh无密码登陆_第11张图片

输入密钥名称以及密钥的加密密码,如下:

烂泥:学习ssh之ssh无密码登陆_第12张图片

注意:这个密钥的加密密码就是ssh私钥的加密密码,我们可以为空。

为了下面试验区分通过ssh-kengen生成的密钥id_rsa,在此密钥的名称我们命名为id_rsa_1024。

生成公钥,如下:

烂泥:学习ssh之ssh无密码登陆_第13张图片

公钥生成后,我们需要把该公钥保存到一个文件中。如下:

烂泥:学习ssh之ssh无密码登陆_第14张图片

公钥保存完毕后,xshell就会跳转到私钥的界面。如下:

烂泥:学习ssh之ssh无密码登陆_第15张图片

通过上图,我们可以看到目前私钥的名称就是我们前面命名的id_rsa_1024,而且密钥的长度是1024字节。

现在我们来导出该私钥,如下:

烂泥:学习ssh之ssh无密码登陆_第16张图片

这样我们就得到了一对ssh密钥,如下:

烂泥:学习ssh之ssh无密码登陆_第17张图片

2.2 上传ssh公钥

在2.1章节中,我们已经创建好了ssh的公钥与私钥,现在我们开始把公钥上传到需要被访问的服务器上,即ssh服务器上。

在把公钥上传到ssh服务器上,我们还有几件事要做:

1)、确定要登陆ssh服务器的用户

2)、修改ssh服务器的ssh配置文件sshd_config

3)、创建authorized_keys文件

4)、上传公钥并把内容重定向到authorized_keys文件

注意:本章节是在192.168.1.7机器上操作,如下:

hostname

ifconfig

烂泥:学习ssh之ssh无密码登陆_第18张图片

2.2.1 确定要登陆ssh服务器的用户

因为我们是要免密码登陆ssh服务器,所以我们必须要确定使用哪一个用户登陆ssh服务器。

注意:该用户一定要在ssh服务器存在,并且是可以登陆ssh服务器的。

在此我们使用的是ilanni这个用户登陆ssh服务器的。如下:

whoami

cat /etc/passwd |grep ilanni

烂泥:学习ssh之ssh无密码登陆_第19张图片

2.2.2 修改ssh配置

ssh存放用户登陆的公钥是通过sshd_config文件配置的,但是默认该选项是没有启用的。需要我们通过修改sshd_config文件来启用,如下:

sudo vi /etc/ssh/sshd_config

烂泥:学习ssh之ssh无密码登陆_第20张图片

我们只需要把#AuthorizedKeysFile %h/.ssh/authorized_keys行前的#去掉即可。如下:

烂泥:学习ssh之ssh无密码登陆_第21张图片

AuthorizedKeysFile存放该用户可以用来登录的RSA/DSA公钥。该指令中%h表示用户的主目录,最后公钥会存放到主目录的.ssh/authorized_keys文件中。

注意:这个步骤不是必须的,因为通过ssh-copy-id命令进行配置时,就无需修改ssh配置文件。

2.2.3 创建authorized_keys文件

在上一章节中,我们知道了用户的公钥是存放在authorized_keys文件中的,现在我们来创建该文件。

先创建.ssh目录并修改其用户属性,如下:

mkdir .ssh

chmod 700 .ssh

烂泥:学习ssh之ssh无密码登陆_第22张图片

.ssh目录创建完毕后,我们现在来创建authorized_keys文件。如下:

touch authorized_keys

烂泥:学习ssh之ssh无密码登陆_第23张图片

2.2.4 把公钥内容重定向到authorized_keys文件

在2.1章节中,我们介绍了ssh密钥的生成方法。一是通过ssh-kengen命令生成,二是通过xshell生成。

我们现在把这两个公钥都上传到192.168.1.7机器上,然后重定向到authorized_keys文件中。如下:

clip_p_w_picpath024[4]

把192.168.1.8公钥复制到192.168.1.7机器上,如下:

scp .ssh/id_rsa.pub [email protected]:/home/ilanni

烂泥:学习ssh之ssh无密码登陆_第24张图片

把xshell生成的公钥上传到192.168.1.7上,如下:

烂泥:学习ssh之ssh无密码登陆_第25张图片

现在把两个公钥都重定向到authorized_keys文件,如下:

cat id_rsa.pub >.ssh/authorized_keys

cat id_rsa_1024.pub>>.ssh/authorized_keys

cat .ssh/authorized_keys

烂泥:学习ssh之ssh无密码登陆_第26张图片

2.3 连接ssh服务器

公钥上传完毕后,我们来连接ssh服务器,也就是连接192.168.1.7机器。

连接192.168.1.7,我们也可以分为linux和windows,下面对其连接方法一一讲解。

2.3.1 在linux上连接ssh服务器

我们先在linux机器192.168.1.8上连接192.168.1.7,如下:

ssh [email protected]

ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

烂泥:学习ssh之ssh无密码登陆_第27张图片

通过上图,我们可以很明显的看出在192.168.1.8上连接192.168.1.7时,系统没有提示我们输入密码。

这也就实现了,我们免密码登陆ssh服务器的功能。

2.3.2 在windows上连接ssh服务器

我们现在切换到windows系统上,来连接192.168.1.7。 ssh客户端工具,我们使用的还是xshell,还是在生成密钥的那台windows机器上。如下:

ssh [email protected]

烂泥:学习ssh之ssh无密码登陆_第28张图片

注意:用户身份验证方法,在此我们需要选择的是Public Key也就是密钥验证方式,并且用户密钥就是我们前面生成时的密钥时的私钥id_rsa_1024。

烂泥:学习ssh之ssh无密码登陆_第29张图片

通过上图,我们可以很明显的看到在windows客户端连接192.168.1.7,系统也没有要求我们输入密码,这也就实现了ssh的无密码登陆。

2.4 使用ssh-copy-id上传ssh公钥

看了第2.2章节有关上传ssh公钥,你是不是觉得很麻烦。其实ssh还给我们提供了另外一个命令ssh-copy-id,ssh-copy-id命令可以把上述的步骤一次性执行完毕。

注意:ssh-copy-id命令只存在于linux系统中,目前没有发现windows系统的ssh客户端工具有该命令。

ssh-copy-id命令使用方法,如下:

ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

ssh-copy-id -i .ssh/id_rsa.pub [email protected]

烂泥:学习ssh之ssh无密码登陆_第30张图片

cat .ssh/id_rsa.pub

clip_p_w_picpath032[4]

登陆192.168.1.9,查看公钥。如下:

ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

ll --full-time .ssh/

烂泥:学习ssh之ssh无密码登陆_第31张图片

cat .ssh/authorized_keys

烂泥:学习ssh之ssh无密码登陆_第32张图片

通过以上两张截图,我们很明显的看出,使用ssh-copy-id命令可以直接在ssh服务器对应用户的家目录下创建.ssh目录,并且在该目录下创建authorized_keys文件。同时也会把公钥id_rsa.pub文件中的内容,复制到authorized_keys文件中。

查看ssh配置文件是否修改。如下:

cat /etc/ssh/sshd_config |grep authorized_keys

烂泥:学习ssh之ssh无密码登陆_第33张图片

通过上图,我们可以很明显的看出ssh-copy-id没有修改ssh配置。

现在我们来连接192.168.1.9测试下,如下:

ifconfig eth0|grep "inet addr"|awk '{print $2}'|cut -d: -f2

ssh [email protected]

烂泥:学习ssh之ssh无密码登陆_第34张图片

通过上图,我们可以很明显的看到即使不修改ssh的配置文件,只要有authorized_keys文件,也能实现ssh的无密码登陆。

有关ssh-copy-id详细的使用方法,可以查看其帮助命令。如下:

ssh-copy-id -h

clip_p_w_picpath037[4]

以上就是有关ssh无密码登陆的全部内容。